Επειδή δεν δίνετε σε μια εφαρμογή πρόσβαση στο μικρόφωνο σας, αυτό δεν σημαίνει ότι δεν μπορεί να σας ακούσει. Οι ερευνητές έχουν δημιουργήσει μια επίθεση που ονομάζεται Spearphone που χρησιμοποιεί τους αισθητήρες κίνησης στα τηλέφωνα Android για να ακούει τις τηλεφωνικές κλήσεις, τις αλληλεπιδράσεις με την φωνητική βοηθό σας και πολλά άλλα.
Όταν εγκαθιστάτε μια εφαρμογή Android, αυτή ζητάει την άδεια σας έτσι ώστε να έχει πρόσβαση στο μικρόφωνο σας, ώστε να μπορεί να ακούσει τι λέτε. Ωστόσο, οι ερευνητές ανακάλυψαν μια λύση.
Τα περισσότερα σύγχρονα smartphone έχουν επιταχυνσιόμετρα που υποτίθεται ότι αντιλαμβάνονται το πόσο γρήγορα κινείστε τα οποία είναι χρήσιμα για παράδειγμα στις εφαρμογές γυμναστικής. Οι εφαρμογές Android δεν χρειάζονται άδεια χρήσης του επιταχυνσιόμετρου του τηλεφώνου, οπότε οι ερευνητές το χρησιμοποίησαν ως συσκευή ακρόασης. Το μεγάφωνο του smartphone προκαλεί δόνηση στην συσκευή, οπότε οι ερευνητές ήταν σε θέση να κάνουν hijack στο επιταχυνσιόμετρο για να δοκιμάσουν αυτές τις δονήσεις.
Η επίθεση χρησιμοποίησε ένα συνδυασμό επεξεργασίας σήματος και μηχανικής μάθησης για τη μετατροπή των δειγμάτων κραδασμών σε ομιλία. Η τεχνική λειτουργεί εάν το τηλέφωνο βρίσκεται σε κάποιο τραπέζι ή κρατείται στο χέρι του χρήστη, εφόσον το τηλέφωνο βγάζει ήχους μέσω του ηχείου και όχι μέσω ακουστικού.
Όπως ισχυρίστηκαν οι ερευνητές, θα μπορούσαν να προσδιορίσουν το φύλο και την ταυτότητα του απομακρυσμένου ομιλητή με πιθανότητα 90% και 80% αντίστοιχα, με το ελάχιστο της μιας μόνο λέξης.
Το έγγραφο των ερευνητών παραθέτει αρκετές πιθανές επιθέσεις. Το λογισμικό θα μπορούσε να παρακολουθήσει ένα τηλεφώνημα, ανιχνεύοντας το φύλο και ενδεχομένως την ταυτότητα του απομακρυσμένου ατόμου. Θα μπορούσε επίσης να χρησιμοποιήσει την αναγνώριση ομιλίας για να καταλάβει τι λέει.
Το λογισμικό θα μπορούσε επίσης να χρησιμοποιήσει την τεχνική για να ακούσει τα “audio files”, προειδοποίησε, υποδεικνύοντας μια ύπουλη εμπορική εφαρμογή:
Οι διαφημιστικές εταιρείες θα μπορούσαν να χρησιμοποιήσουν αυτές τις πληροφορίες για να στοχεύσουν τα θύματα με προσαρμοσμένες διαφημίσεις, σύμφωνα με τις προτιμήσεις του θύματος.
Τέλος, οι αισθητήρες κίνησης μπορούσαν να ακούσουν τις απαντήσεις του ψηφιακού φωνητικού βοηθού σας, για να μάθουν τι ακριβώς τον ρωτήσατε, για παράδειγμα τον τόπο συνάντησης σας σε ένα ραντεβού.
Ένας επιτιθέμενος θα πρέπει να “φυτέψει” κάποιο malware στο τηλέφωνο, αλλά δεδομένου ότι πολλές ψεύτικες εφαρμογές κάνουν ήδη παράνομες πράξεις στα τηλέφωνα των χρηστών, αυτό δεν είναι και πολύ απίθανο. Εναλλακτικά, ο κώδικας επίθεσης θα μπορούσε να τρέξει σε JavaScript εάν ο χρήστης εκείνη την στιγμή “βρισκόταν” σε ένα κακόβουλο ιστότοπο.
Το πιο προφανές μέτρο προστασίας είναι να ενεργοποιήσετε ελέγχους που περιέχουν άδειες για το επιταχυνσιόμετρο, όπως έκανε και η Google για άλλους αισθητήρες όπως το GPS. Ωστόσο, αυτό θα επηρεάσει άμεσα τη χρηστικότητα των smartphone, ισχυρίστηκαν οι ερευνητές και, σε κάθε περίπτωση, οι χρήστες δεν λαμβάνουν πάντοτε υπόψη τις ειδοποιήσεις σχετικά με τις άδειες χρήσης.
